TPM Event Log là gì?
Quicknote TPM Event Log là gì?
TPM Event Log là log ghi lại các measurement được extend vào PCR trong measured boot. OS hoặc tool có thể dùng event log để tái tạo/kiểm tra giá trị PCR.
Vai trò chính
- Giải thích một concept nâng cao trong BIOS/UEFI.
- Hỗ trợ đọc source/log/spec dễ hơn.
- Làm nền cho các bài blog chuyên sâu sau này.
Ví dụ thực tế
Secure Boot và Measured Boot giải quyết hai câu hỏi khác nhau: Secure Boot hỏi “image này có được phép chạy không?”, còn Measured Boot hỏi “những gì đã chạy được đo lại như thế nào?”.
Checklist nhanh
Ghi nhớ nhanh
PCR cho kết quả cuối; event log cho câu chuyện vì sao PCR có giá trị đó.
Cách mình thường đọc nó
Khi học TPM Event Log, mình không muốn chỉ dừng ở định nghĩa. Mình thường tự hỏi ba câu: nó được tạo ra ở đâu, ai sẽ đọc nó, và nếu nó sai thì lỗi sẽ biểu hiện ở tầng nào. Cách nhìn này giúp biến một thuật ngữ khô khan thành một điểm kiểm tra cụ thể trong flow debug.
Một tình huống thực tế
Với các chủ đề security/SMM, mình luôn xem TPM Event Log như một ranh giới tin cậy. Câu hỏi không chỉ là ‘nó làm gì’, mà là ‘ai được phép gọi’, ‘buffer đến từ đâu’, ‘policy được lock ở thời điểm nào’, và ‘nếu attacker điều khiển input thì chuyện gì xảy ra’.
Khi gặp trong thực tế
Với TPM Event Log, câu hỏi quan trọng không chỉ là “cơ chế này bảo vệ cái gì”, mà là nó được lock lúc nào, ai có quyền thay đổi, và trạng thái hiện tại có thể kiểm chứng ở đâu. Security trong firmware thường thất bại vì policy đúng trên giấy nhưng sai thời điểm áp dụng.
Khi đọc source, hãy chú ý các điểm chuyển phase, biến NVRAM, SMM policy, flash descriptor và các bước xác thực image. Đây là nơi bug security hay ẩn dưới dạng “logic bình thường”.
Bài liên quan
Nguồn tham khảo public
Thấy nội dung này hữu ích?
Lưu lại hoặc chia sẻ cho người cũng đang học firmware, BIOS/UEFI và embedded systems.
Biến note thành bài viết hoàn chỉnh
Notes là nơi ghi nhanh khái niệm.